因為 Facebook 最近更新的私隱條款,觸發全球不少用戶展開網絡移民,其中 Telegram 成為受惠者之一,在一天之內增加 2500 萬名新用戶,用戶總數超過 5 億大關,乘這個移民潮,正好談談 Telegram 的保安和私隱。
Telegram端到端加密並非預設選項
首先要瞭解 Telegram 的是雲端聊天,Telegram 稱之為 Standard Chat 並非端到端加密 (瀏覽這裡瞭解端到端加密對私隱的重要性)。直接地說,由於沒有端到端加密意味著 Telegram 不但能和 Whatsapp 一樣存取 metadata (你與誰通訊、時間、頻率和其他),也包含沒有端到端加密的標準聊天內容。
根據在執筆時的 Telegram 的私隱條款,數據並不用作廣告用途,然後經驗告訴我們,條款可以隨時更改。
開啟Telegram端到端的加密聊天
Telegram 確實有端到端加密,只需要用戶把這功能啟動,Telegram 稱之為 Secret Chat,在 Secret Chat 內的文字、圖像、影像和其他檔案傳輸都使用端到端加密,這意味著只有你和收訊人擁有解密金鑰,所以 Telegram 無法存取有關數據。
此外,Secret Chat 的對話內容並不會儲存在 Telegram 的伺服器,因為 Secret Chat 只會儲存在對話參與者的裝置內,無法從其他裝置存取,而且會在用戶登出 Telegram 或刪除應用程式時消失。
Secret Chat 存在於 Telegram 的 iOS、Android 和 MacOS 應用程式,網上版 (Web版) 和 Windows 應用程式並不支援 Secret Chats,因為不能確保對話安全地儲存在有關裝置。
在Telegram開始Secret Chat
在現時版本的 Telegram 應用程式尋找 Secret Chat 並不容易,首先要點選聯絡對像的 profile,點擊「三點」按鍵 (有時又稱 More,有時不是),然後選擇 Start Secret Chat。這選項讓端到端加密應用到訊息 (聊天視窗開始時會出現效果的通知),用戶也可以設定訊息被移除的時間,只需要點擊訊息輸入位置的時鐘 icon。
雖然自動刪除訊息功能並不能防止通話對象擷取螢幕畫面,但當他們進行的時候,用戶會在通訊中收到通知,但對使用 MacOS 應用程式則屬於例外,在這情況下用戶並不會收到通知。另一個小提示,Telegram 容許相同人進行複數的 Secret Chat,群組聊天並不能使用 Secret Chat,與 Whatsapp 不同,Whatsapp 預設端到端加密到所有聊天。
鎖頭標示代表已端到端加密
由於 Telegram 聊天只有 Cloud 或 Secret 兩種,在某些情況下知道自己正在使用哪種聊天十分重要,如果聊天涉及敏感資訊,便應該在安全的環境進行。雖然端到端加密聊天與普通聊天十分相似,但只要看對方名稱或電話號碼的旁邊存在鎖頭標示,就代表聊天經過端到端加密,相反便是未經加密的通訊,用戶可能要創立一個新的聊天。
用戶也可以點擊對話人士的圖示,如果端到端加密已經啟動,視窻的下方會出現「Encryption Key」的字句。
設定Telegram的安全和私隱
除了以上端到端加密以外,用戶也可以設定應用程式的安全和私隱,點擊 Settings 按鍵後選擇 Privacy and Security 進入。
Telegram安全設定
首先要確保當你意外沒有鎖上裝置或不留神時,沒有人能讀取你的對話內容。因此需要設定密碼 (Passcode),點擊 Passcode & FaceID,然後選擇 Turn Passcode On,選擇一個你不會忘記,而其他人也難以猜到的密碼,然後確定。
然後選擇 Auto-Lock 自動上鎖,設定一個低數字,例如 1 或 5 分鐘,假如你的裝置支援指紋辨識或面容辨識,用戶可以啟動相關選項。
下一步是為帳號設立雙從認證以防止帳號被騎劫,基本的登入方法使用 SMS 傳送一次性密碼,而 Telegram 讓用戶設定密碼作為第二重認證。在 Privacy and Security 之內選擇 Two-Step Verification (Telegram 的 2FA ),設定一個強力的密碼組合,謹記這組密碼你將會很少使用,所以很容易忘記,可以把它記錄在安全的位置,例如 Kaspersky Total Security 內附的 Password Manager 功能。
一旦用戶忘記這組額外的密碼,用戶便需要重設帳號,這意味著提出完全移除帳號的申請,需時大約 7 天,在一星期過後帳號將會被刪除 (包括聯絡人、Cloud Chat 和已訂閱的頻道),用戶可以使用相同電話號碼創建一個全新的空帳號,由零開始再其他人進行通聊。
Telegram私隱設定
不想與 5 億以上 Telegram 用戶分享不必要的資訊,適當地設定自己 profile 的私隱十分重要。進入 Privacy 的設定內更改設定值,全部選項和數據預設為任何人都可觀看,我們建議以下的設定:
- Phone Number > Who can see my phone number:Nobody
- Phone Number > Who can find me by my number:My Contacts
- Last Seen & Online > Who can see my timestamp:Nobody
- Profile photo > Who can see my profile photo:My contacts
- Calls > Who can call me:My contacts (或 Nobody,因應自己需要)
- Calls > Peer-to-peer:My contacts (或 Nobody,如果你傾向不與聯絡對像分享 IP 地址)
- Forwarded Messages > Who can add a link to my account when forwarding my messages:My Contacts
- Groups & Channels > Who can add me:My Contacts
用戶也可以乘機查看 Privacy & Security > Data Settings,從 Telegram 的儲存內移除你不想存在的資訊。
極端謹慎的Telegram安全
以上的提示應該對大部份用戶而言已經足夠,但也有以下數點可以作額外的考慮:
- 使用另一個電話號碼登入 Telegram,甚至是虛擬電話號碼以代替真實號碼,然而確保不要使用一次性號碼,否則其他人能存取你的帳號。
- 使用 VPN 隱藏 IP 地址
- 考慮使用其他應用程式,選擇更佳的安全和私隱通訊,例如 Signal 或 Threema,他們預設加密所有聊天,並具備一系列的額外私隱選項,而缺點是普及性較低,也缺少部份吸引人的 Telegram 功能。
謹記即使最安全的通訊軟件,如果某人無論物理或遙距地取得裝置的存取權限,也會變得毫無防備,因此我們也建議經常以密碼或 PIN 鎖上你的裝置,並定期更新所有已安裝的應用程式和操作系統,並安裝可靠的防毒方案去抵禦惡意程式的入侵。
資料來源:Kaspersky blog
